SharePoint Online: Warum eine globale Einschränkung nicht sein muss!

23. Juni 2022 von Lars Hasse, Cloud Solutions Architect

SharePoint ist ein integraler Bestandteil von Office 365 und dient als Datengrundlage für weitere Dienste wie Teams oder OneDrive, aber dennoch wird diese Lösung in den meisten Fällen weit unter dem möglichen (und bereits bezahlten) Potential verwendet.

Die Aussage, die hierzu meist als Grund angegeben wird ist immer die gleiche:

„SharePoint ist zu unsicher, ich habe keine Kontrolle darüber wer Daten wohin teilt“

Aus diesen Gründen werden SharePoint Umgebungen oftmals sehr eingeschränkt verwendet und viele vorhandene Features, die nützlich für das eigene Unternehmen sein könnten, werden von Beginn an in den globalen Einstellungen blockiert.

Abbildung: Restriktive globale Einstellung, die viele Funktionen und Nutzungsfälle ausschließt

Dieser Beitrag soll Ihnen im Folgenden zeigen, wie Ihre Bedenken mit der richtigen Planung und dem Einsatz von verschiedenen Office 365 Features zerstreut werden. Hierbei werden wir auf spezielle Features zurückgreifen, welche einfach zu implementieren sind (keine Sorge, es werden keine Daten klassifiziert). Die Features sind meist standardmäßig oder mit einer „kleinen“ Lizenz im Tenant enthalten.

Sicherheit und Inhalte teilen

Das größte Bedenken und oftmals auch das K.O. Kriterium von SharePoint ist die Sicherheit und fehlende Übersichtlichkeit der Berechtigungen, da oftmals auch der Unterschied zwischen den Berechtigungsarten nicht ganz klar ist.

SharePoint besitzt zum einen implizite Berechtigungen, die ähnlich wie beim Fileserver administrativ oder durch Seitenbesitzer verwaltet werden können. Zum anderen bietet SharePoint aber auch die Funktion „Teilen“ (Sharing), mit dieser können Benutzer Dateien direkt per Rechtsklick freigeben. Hierbei sind die Freiheiten des Teilens und des Freigabelinks gleichzeitig Fluch und Segen. Eine wirkliche Übersicht der Zugriffe hat man hierbei nur auf Dateiebene und dadurch nur begrenzte Möglichkeiten der Überwachung und Kontrolle. Im Gegensatz dazu können implizit gesetzte Berechtigungen immer direkt auf der Seite eingesehen werden.

Da die Teilen-Funktion global auf verschiedene Stufen eingestellt werden kann, schränken viele Unternehmen die Funktion so weit ein, wie es das Unternehmen für den sichersten Bereich im SharePoint benötigt. Das Ziel dabei ist klar, die Sicherheit für diese Seite und alle weiteren Seiten zu garantieren. Allerdings wird so häufig wertvolles Potential verschenkt, da durch diese globale Einschränkung schlichtweg viele Nutzungsmöglichkeiten nicht mehr gegeben sind.

Einsatz clever genutzter Label

Die bessere Lösung bietet die Office 365 Funktion „Sensitivity labels“. Hierbei handelt es sich um eine Klassifizierungsmöglichkeit aus dem Compliance Bereich. Basierend auf dem Label pro Seite kann bestimmt werden, welche Teilen und Sicherheitseinstellungen die jeweilige Seite besitzt. Somit kann beispielsweise eine Seite mit dem Label „internal only“ auch nur intern geteilt werden, bei Bedarf sogar gar nicht. Durch die Label kann das Sicherheitslevel auf jeder Seite individuell vergeben werden. So kann die globale und universelle Einschränkung verhindert werden und die vielfältigen Möglichkeiten von SharePoint optimal genutzt werden.

Um zu entscheiden, welches Label eine Seite benötigt, sollte sich folgende grundsätzliche Frage gestellt werden:

Was ist der Zweck der SharePoint Site?

Handelt es sich um eine interne Seite, welche auch intern keine Freigaben ermöglichen soll?
Ist es eine Kollaborationsseite mit festgelegten, sichtbaren Gästen?
Dient die Seite Endkunden, die nur mit einem Link Daten zur Verfügung gestellt bekommen sollen?

Basierend auf der Entscheidung sollte nun das passende Label vergeben werden.

Sicherheit gewährleisten

Dies ist alles schön und gut, es bleibt aber noch immer die Frage offen, wie garantiert werdenkann, dass gewisse Seiten auch das korrekte Sicherheitsniveau haben.

Hierbei kommen nun zwei Eigenschaften der Label ins Spiel: Das Default Label und die Label-Pflicht. Bei der Verwendung der Labels im Unternehmen kann ein Label als Standard für jede Seite definiert werden. Hier empfehlen wir für grundsätzlich die höchste Sicherheitsstufe zu wählen.

Anmerkung: Durch die Label-Pflicht muss jede Seite ein Label besitzen. Dieses Label können danach nicht einmal die Besitzer einer Ressource (einer SPO-Site oder einem Teams Team) entfernen.

Wenn mehrere Labels im Unternehmen eingerichtet bzw. verwendet werden, bestehen nun zwei Möglichkeiten, um Benutzern das Wechseln auf „liberalere“ Label zu ermöglichen.

Der direkte Ansatz, bei dem Benutzer selbst wechseln dürfen, erlaubt Ressourcenbesitzern die für sie freigegebenen Label frei zu tauschen. Bei Bedarf kann zusätzlich die Angabe einer Begründung vorausgesetzt werden. Hierbei ist zu beachten, dass eine allgemeine Label-Pflicht gilt, SharePoint verlangt also nur ein Label, wobei egal ist welches. Somit legt man an dieser Stelle das Vertrauen in die Ressourcenbesitzer. An dieser Stelle müssen Sie entscheiden, ob der Strukturansatz, den Sie verwenden, ein solches Vorgehen unterstützt (z. B. alle Ressourcenbesitzer sind Administratoren).

Bei dem indirekten Ansatz gibt man den Benutzern lediglich das minimale Label frei, wodurch selbst Ressourcenbesitzer nicht die Möglichkeit haben dieses zu entfernen. Hierbei muss das Wechseln zu einem liberaleren Label dann entweder durch einen Key-User, nach Genehmigung, erfolgen oder sogar durch die Verwendung von Microsoft Power Automate. Bei der Automatisierung könnte ein Prozess z. B. mit der Genehmigung eines Entscheidungsträgers für die Sicherheit beginnen und anschließend das gewünschte Label durch einen Service Benutzer der Seite angepasst werden.

Ich hoffe dieser Einblick in die generelle Absicherung des SharePoints konnte aufzeigen, dass ein SharePoint, sofern korrekt eingerichtet, gut verwaltbar ist und Kernfunktionen auch mit einer hohen Sicherheit verwendbar sind. Als Abschlusskommentar möchte ich an dieser Stelle kurz anmerken, dass sich der gesamte Blogartikel speziell mit der Plattformsicherheit beschäftigt hat. Eine spezialisierte Datensicherheit kann man dann durch das Klassifizieren der Daten selbst erhalten. Dies funktioniert jedoch genauso wie auf einem Standard-Fileserver und ist daher keine Spezialität von SharePoint wie das hier besprochene Teilen (Sharing).

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.